依靠域名或IP地址查找入侵者位置(2)

　　利用域名与IP地址进行追踪查询

　　根据域名查询

　　在Internet上，一般用whois服务来查询连线单位的登记资料。whois本来应该是用来查某人的电话或是其他资料的，这有点像是 finger 或是现在很流行的寻人服务，比如像 whowhere、bigfoot 之类的(感兴趣的读者可以登陆www.whowhere.com查阅)，但目前NIC用whois来查询连线单位的电话以及住址，技术联络人等位资料会存放于该单位的whois主机(whois+NIC名称+net)中。例如亚太地区网络管理中心whois server为whois.apnic.net。

　　当你知道某台主机的域名以后，可以依照下面顺序查出连线单位的电话住址等资料。第一步，先看有没有国码。没有国码的，向“whois.internic.net”查询;有国码的就可以向“whois.国码 nic.net”查询。美国军事单位的是例外，其联络明细需要向“nic.ddn.mil”查询。

　　当你通过域名查询入侵者的资料时，如你能从 nslookup 查出某一 IP 地址的 FQDN，则可以直接向当地NIC查出入侵者的资料。

　　下面举个从美国入侵的简单例子：

　　比如有人由 xxx.aol.com 入侵，其主机名中没有国码，因此就直接向 InterNIC 查询，由此我们可以查到

　　America Onli 的技术负责人以及电话、传真等资料，发个传真去告洋状!

　　(2)通过IP 方法

　　注意! 以下作为范例之 IP 地址均为虚构，如有雷同，纯属巧合。读者不许擅自利用这些地址进行非法活动，否则后果自负。

　　首先我们来看几个小例子。

　　由168.95.109.222的例子：假设你不知道这是HiNet的网络，而这个有域名的话，则须先将IP地址分等级，再向InterNIC查询()。

　　由15.4.75.2子：首先IP地址进行分析：此IP地址是15开头，为一个Class A网络，故向InterNIC查询： 查出此惠普公司所有。

　　由203.66.35.1入侵的例子：这是一个Class C IP，因此必须查询至少二次，一般是三次。顺序为国际→洲际→所属国家。先查203.0：结果是出来一大堆数据，怎么办?只好再追问Class B，由于InterNIC将部份Class C交给洲际管理机构来负责配给，因此有些Class C的资料会在洲际管理机构，此时先向InterNIC查出所属洲际管理机构(用 Class B 问)。可以调查到 203.66 为亚太地区洲际网络，于是向whois.apnic.net 询问203.66.35以查询到是Forwardness Technology Co.Ltd.所属IP，从结果数据中，我们还可以查询到电话等信息。

　　在以上的查询方法中，可以由任一主机名称或IP地址查到连线者所属的网络资料，如果你发现该网络单位下属主机对你的网络有攻击行为，就可以将资料告诉对方的系统管理员。

　　注意!

　　几乎所有使用TCP/IP通讯协定的计算机都会有hosts、network等档案。这是所有TCP/IP系统的共同习惯(只有Microsoft的软件会有lmhosts 来配合Microsoft自己的wins域名解译系统)。如果读者有注意到的话，可以发现Novell Netware伺服器也有一个etc目录，还有hosts等档案!